Trojaner stiehlt Zugangsdaten von 300.000 Bankkonten
Er injiziert in die Seite im Browser eigenen Code, um dem Anwender beim Aufruf einer Bankenseite die dazugehörigen Daten abzuluchsen. Dabei soll er auf den Aufruf von rund 2700 URLs internationaler Banken reagieren können.
- Daniel Bachfeld
Dem aktuell umtriebigsten Banking-Trojaner Sinowal alias Torpig soll es in den vergangenen sechs Monaten gelungen sein, Login-Daten von mehr als hunderttausend Konten auszuspähen, wie das RSA FraudAction Research Lab herausgefunden haben will. Sinowal gilt unter Virenspezialisten als ein hoch entwickelter Trojaner für Windows, der neben Daten für Bankkonten auch Kreditkartendaten und FTP-Accounts ausspäht. In den vergangenen drei Jahren soll es den Autoren des Schädlings mit verschiedenen Varianten von Sinowal gelungen sein, die Daten von mehr als 300.000 verschiedenen Konten mitzulesen und an eine Datenbank zu versenden.
Sinowal injiziert in die im Browser dargestellte Webseite eigenen Code, um dem Anwender beim Aufruf einer bekannten Seite die dazugehörigen Daten abzuluchsen. Dabei soll er auf rund 2700 URLs internationaler Banken und Finanzdienstleister reagieren können. Wie er Systeme genau infiziert, soll laut RSA nicht nachverfolgbar sein. Vermutlich wird er unter anderem über infizierte Webseiten verteilt, wie etwa Mitte des Jahres 2007 über das Web-Attack-Toolkit MPack. Analysen von Kaspersky zufolge nutzt er Rootkit-Techniken, um sich im System zu verbergen. Dazu schreibt er sich in den MBR der Festplatte, um bereits beim Booten aktiv zu werden.
Das bemerkenstwerteste an dem Trojaner ist nach Meinung von RSA zudem, dass es die Betrüger über einen Zeitraum von drei Jahren geschafft haben, die Kommunikationsinfrastruktur des Trojaners zu seiner Datenbank aufrecht zu erhalten. Unter anderem sollen die Betrüger für Sinowals Kommunikation mehrere tausend Domains betreiben. Zwar geht RSA in seinem Bericht nicht näher darauf ein, vermutlich dürfte sich der Schädling aber so genannter Fast-Flux-Netze bedienen. Eine nähere Beschreibung solcher Netze liefert der Artikel "Hydra der Moderne Die neuen Tricks der Spammer und Phisher" auf heise Security.
Über die genau Herkunft Sinowals und seine jetzigen Drahtzieher gibt es aber nur Spekulationen. So soll der Trojaner ursprünglich von russischen Kriminellen mit Verbindungen ins Russian Business Network (RBN) betrieben worden sein. Mittlerweile soll das RBN aber keine Rolle mehr spielen, vermutlich weil seine Infrastruktur nicht mehr verfügbar ist. RSA will die Ergebnisse seiner Beobachtungen anderen zugänglich machen. Zudem habe man die Ermittlungsbehörden informiert.
Siehe dazu auch
- One Sinowal Trojan + One Gang = Hundreds of Thousands of Compromised Accounts, Bericht von RSA FraudAction Research Lab
(dab)
